Protect AI segnala vulnerabilità critiche nei sistemi AI e ML esistenti e sollecita la protezione dei progetti open source
In Breve
Il report Protect AI identifica le vulnerabilità negli strumenti utilizzati nella catena di fornitura AI/ML, spesso Open Source, con minacce alla sicurezza uniche.
Esistono vulnerabilità negli strumenti utilizzati all'interno della catena di fornitura AI/ML, spesso Open Source, che comportano minacce alla sicurezza uniche e queste vulnerabilità comportano rischi di esecuzione di codice remoto non autenticato e inclusione di file locali, secondo il rapporto di Protect AI – a sicurezza informatica azienda focalizzata sui sistemi AI e ML.
Ciò può comportare implicazioni che vanno dall'acquisizione di server al furto di informazioni sensibili, aggiunge il rapporto.
Il rapporto sottolinea ulteriormente la necessità di un approccio proattivo nell’identificazione e nell’affrontare queste vulnerabilità per salvaguardare dati, modelli e credenziali.
In prima linea negli sforzi di Protect AI c’è huntr, il primo programma di bug bounty AI/ML al mondo, che coinvolge una comunità di oltre 13,000 membri attivamente alla ricerca delle vulnerabilità. Questa iniziativa mira a fornire informazioni cruciali sulle potenziali minacce e facilitare una risposta rapida per proteggere i sistemi di IA.
Nell'agosto 2023, la società ha annunciato il lancio di huntr, una piattaforma di bug bounty AI/ML focalizzata esclusivamente sulla protezione del software open source AI/ML (OSS), modelli fondativie sistemi ML. Il lancio della piattaforma huntr AI/ML bug bounty è il risultato dell'acquisizione di huntr.dev da parte di Protect AI.
"Con oltre 15,000 membri ora, huntr di Protect AI è il gruppo più grande e concentrato di ricercatori di minacce e hacker focalizzati esclusivamente sulla sicurezza AI/ML", Daryan Dehghanpisheh, presidente e co-fondatore di Protect AI.
“Il modello operativo di Huntr è incentrato su semplicità, trasparenza e premi. Le funzionalità automatizzate e l’esperienza di triage di Protect AI nel contestualizzare le minacce per i manutentori aiutano tutti i contributori di software open source in AI a creare pacchetti software più sicuri. Ciò alla fine va a vantaggio di tutti gli utenti, poiché i sistemi di intelligenza artificiale diventano più sicuri e resilienti”, ha aggiunto Dehghanpisheh.
Il rapporto identifica le vulnerabilità critiche
Evidenziando i risultati della comunità huntr nell'ultimo mese, il rapporto identifica tre vulnerabilità critiche che includono MLflow Remote Code Execution, MLflow Arbitrary File Overwrite e MLflow Local File Include.
- Esecuzione di codice remoto MLflow: il difetto provoca il controllo del server e la perdita di informazioni sensibili. MLflow, uno strumento per archiviare e tenere traccia dei modelli, presentava una vulnerabilità legata all'esecuzione di codice in modalità remota nel codice utilizzato per eliminare l'archiviazione remota dei dati. Gli utenti potrebbero essere indotti a utilizzare origini dati remote dannose che potrebbero eseguire comandi per conto dell'utente.
- Sovrascrittura file arbitraria MLflow: la falla può potenzialmente portare al controllo del sistema, alla negazione del servizio e alla distruzione dei dati. È stato trovato un bypass in una funzione MLflow che verifica che un percorso file sia sicuro, consentendo a un utente malintenzionato di sovrascrivere in remoto i file sul server MLflow. Ciò può portare all'esecuzione di codice remoto con passaggi aggiuntivi come la sovrascrittura delle chiavi SSH sul sistema o la modifica del file .bashrc per eseguire comandi arbitrari al successivo accesso dell'utente
- MLflow Local File Include: il difetto comporta la perdita di informazioni sensibili e il rischio di acquisizione del sistema. MLflow, se ospitato su sistemi operativi specifici, può essere manipolato per visualizzare il contenuto di file sensibili, ponendo una potenziale strada per il controllo del sistema se le credenziali essenziali vengono archiviate sul server.
Lo ha detto il cofondatore di Protect AI, Daryan Dehghanpisheh Metaverse Post, “L’urgenza nell’affrontare le vulnerabilità dei sistemi AI/ML dipende dal loro impatto sul business. Dato il ruolo fondamentale dell’intelligenza artificiale/ML nel business contemporaneo e la gravità dei potenziali exploit, la maggior parte delle organizzazioni riterrà elevata questa urgenza. La sfida principale nella protezione dei sistemi AI/ML risiede nel comprendere i rischi durante il ciclo di vita di MLOps”.
“Per mitigare questi rischi, le aziende devono condurre una modellazione delle minacce per i propri sistemi AI e ML, identificare le finestre di esposizione e implementare controlli adeguati all’interno di un programma MLSecOps integrato e completo”, ha aggiunto.
Nel suo rapporto, Protect AI sottolinea l’urgenza di affrontarli vulnerabilità tempestivamente e fornisce un elenco di raccomandazioni per gli utenti con progetti interessati in produzione, sottolineando l’importanza di un atteggiamento proattivo nel mitigare i potenziali rischi. Gli utenti che affrontano difficoltà nel mitigare queste vulnerabilità sono incoraggiati a contattare la comunità di Protect AI.
Con l’avanzare della tecnologia AI, Protect AI sta lavorando per proteggere l’intricata rete di sistemi AI/ML per garantire uno sfruttamento responsabile e sicuro dei vantaggi dell’intelligenza artificiale.
Negazione di responsabilità
In linea con la Linee guida del progetto Trust, si prega di notare che le informazioni fornite in questa pagina non intendono essere e non devono essere interpretate come consulenza legale, fiscale, di investimento, finanziaria o di qualsiasi altra forma. È importante investire solo ciò che puoi permetterti di perdere e chiedere una consulenza finanziaria indipendente in caso di dubbi. Per ulteriori informazioni, suggeriamo di fare riferimento ai termini e alle condizioni nonché alle pagine di aiuto e supporto fornite dall'emittente o dall'inserzionista. MetaversePost si impegna a fornire report accurati e imparziali, ma le condizioni di mercato sono soggette a modifiche senza preavviso.
Circa l'autore
Kumar è un giornalista tecnologico esperto con una specializzazione nelle intersezioni dinamiche di AI/ML, tecnologia di marketing e campi emergenti come criptovaluta, blockchain e NFTS. Con oltre 3 anni di esperienza nel settore, Kumar ha stabilito una comprovata esperienza nella creazione di narrazioni avvincenti, nella conduzione di interviste approfondite e nella fornitura di approfondimenti completi. L'esperienza di Kumar risiede nella produzione di contenuti di grande impatto, inclusi articoli, rapporti e pubblicazioni di ricerca per importanti piattaforme di settore. Con un insieme di competenze uniche che combina conoscenze tecniche e narrazione, Kumar eccelle nel comunicare concetti tecnologici complessi a un pubblico diversificato in modo chiaro e coinvolgente.
Altri articoli
Kumar è un giornalista tecnologico esperto con una specializzazione nelle intersezioni dinamiche di AI/ML, tecnologia di marketing e campi emergenti come criptovaluta, blockchain e NFTS. Con oltre 3 anni di esperienza nel settore, Kumar ha stabilito una comprovata esperienza nella creazione di narrazioni avvincenti, nella conduzione di interviste approfondite e nella fornitura di approfondimenti completi. L'esperienza di Kumar risiede nella produzione di contenuti di grande impatto, inclusi articoli, rapporti e pubblicazioni di ricerca per importanti piattaforme di settore. Con un insieme di competenze uniche che combina conoscenze tecniche e narrazione, Kumar eccelle nel comunicare concetti tecnologici complessi a un pubblico diversificato in modo chiaro e coinvolgente.
